Reprise du message précédent :

N'abuse pas non plus, le risque est pas le même    
 
Cela dit, quand il s'agit de NFC la banque te rembourse en cas de débit frauduleux.

 
Wow ... entre lire des puces RFID et faire un MiTM sur du traffig 3G, y'a quand même un ou deux mondes hein    
Techniquement parlant, c'est un peu plus touchy et il faut du matériel ...
 

 
Bof, ça dépend de ton mode de vie. Mais en règle général, t'es jamais à l'abri d'un mec dans un bus avec une bonne antenne.
Le jeu peut en valoir la chandelle ...
 

 
Ouais, toi t'as jamais ouvert un litige avec une banque tiens.    
 
 
Non mais voilà, on est clairement dans un risque bien plus faible que de se faire simplement voler son portefeuille ...
Le vrai débat là dedans, c'est quand même les banques + Visa/MasterCard que ça dérange pas trop de démocratiser en douce un moyen de paiement qui est bien moins secure qu'un pass Navigo ...

 
Mais, ce paiement sans contact, ce n'est pas que pour des petites sommes ?  

Me semble que c'est un maximum de 150€, par paiement ou par jour?

En tout cas, vivement que ma carte arrive à expiration.
 
Marre d'aller retirer du liquide pour aller acheter du pain ou poster un colis.    
 

 
Faut suivre un peu  
Le problème c'est pas le paiement sans contact, mais qu'il soit possible de lire "en clair" trop d'infos (Nom/Prénom du porteur, numéro de la carte, date de validité) sans contact, à distance, sans "casser" aucun chiffrement ...

A quelle distance ?
 
Ca dépend de la puissance de la source ?  
 

C'est vrai, j'ai une banque trop sérieuse pour avoir un litige avec    
 

20€/jour et par commerçant.
Y a un autre plafond qui t'oblige à taper ton code une fois atteint, mais ça dépend des banques.

 
Surtout de la qualité du matériel/antenne du pirate    
Avec du matos pas cher/trouvable (type Nexus S et un peu de bricolage) j'arrivais à récupérer ça en passant un peu près de quelqu'un (5 cm) -typiquement TEC par exemple-.
 

 
Oui clair, c'est ta banque qui détermine si on va te piquer ta CB ou si tu t'es fait baiser sur un site de ecommerce corrompu    
La mauvaise foi a pas vraiment de limite en fait.

redface is red    
 
Et non, la banque n'est pas responsable si tu te laisse tes coordonnées n'importe où, alors que dans le cas du piratage par NFC si, complètement.

 
 
Chez canardpc/hardware n°16, ils ont réussi à lire des carte à +-2 m
 
http://www.canardpc.com/news-53018 [...] _ipad.html

Quelle bande d'inculte peureux vous faites
 
Déjà c'est pas plus de 20€ par paiement et pas plus de 80€ d'affilé sans que la carte soit utilisé avec son code. En cas de "piratage" on se fait rembourser, le jour ça m'arrivera je me poserai des questions, en attendant je profite de cette avancé technologique sans me faire de nœud à la tête...

C'est vrai que perdre 20€ ou la vie c'est la meme chose

Il suffit d'une casquette (ou d'un bonnet ) avec des lumières infrarouges pour éblouir les caméras... bon par contre dans un bureau, si t'es le seul à en porter tu vas vite te faire repérer quand même  

5€ par ci, 5€ par là... la somme peut être significative rapidement
Quand aux clients, les banquiers disent rapidement "bah vous savez, pour 5€, ça vous mettra 6 mois pour les ravoir alors "
 
Tu te poses dans un métro bien bondé, c'est fait

Le principe est le même, même si la finalité ne l'est pas. Je vois pas comment - d'autant plus pour quelqu'un travaillant dans l'informatique vu que ca doit être le cas de pas mal de gens ici - on peut trouver normal que des transactions bancaires se fassent sans le moindre cryptage, d'autant plus quand elles sont interceptables facilement par n'importe qui.
 
C'est une aberration sans nom pour quiconque ayant des bases en sécurité informatique, le problème n'est pas la somme détournable, mais la porte que cela ouvre en terme de sécurité, quand on est dans un secteur sensible, la politique informatique veut qu'on ne laisse pas la moindre faille entrouverte, ne serait ce que pour le fait que personne ne puisse comprendre comment le système fonctionne, la base de la sécurité en somme.

 
 
C'est à dire qu'un système de paiement à distance qui ne réclame pas d'autorisation de paiement en dessous de 20€, oui, y'a de quoi être parano.
 
Un mec avec une antenne de cuivre dans un sac à dos pour augmenter la portée, il traverse une foule, et hop, 20€, 20€, 20€, 20€. C'est tout à fait réalisable.
 

Non. Il ne peut pas payer avec ta carte et la copie ne se fait pas simplement (ni rapidement d'ailleurs). On peut lire le contenu visible de la carte (mais en même temps, c'est prévu) mais pas initier un paiement.

Quelqu'un qui vole ta carte peut payer pour 80 € au total avant qu'on demande le code, et par tranche max de 20 € (et franchement, quelqu'un qui vole une carte a bien plus de choses sympas à faire que d'utiliser le NFC).

Quelqu'un qui passe à proximité peut copier les infos placées dessus, sauf le code à l'arrière. Avec ça, il peut faire une copie de la bande magnétique et payer les autoroutes en France, ou éventuellement payer à l'étranger, dans les pays qui demandent pas le code (et les USA commencent à passer à la carte à puce...). Ou alors éventuellement commander des trucs sur des sites qui demandent pas le code et font pas de vérifications (c'est pas si courant).

Mais globalement, c'est de la paranoïa : si c'était si peu sécurisé, les banques l'utiliseraient, elles vont pas mettre un truc qui peut potentiellement faire perdre de l'argent en masse.

Sérieusement, les Parisiens, vous utilisez pas le pass Navigo ? Non, parce que c'est aussi trivial de lire son contenu que lire une carte NFC. Ou un passeport.

http://www.ebay.fr/itm/10x-Anti-Th [...] 1597647806
Testé, ça bloque vraiment. Pour peu qu'on ait un porte-feuille assez grand, l'étui rentre sans problèmes dedans. Et on a le meilleur des deux mondes, la sécurité quand c'est dans ta poche, le NFC quand tu veux l'utiliser.

On s'est amusé avec mes collègues de promo à tester avec un téléphone NFC et une appli qui va bien (j'ai plus le nom edit : retrouvé, https://play.google.com/store/apps/ [...] emvnfccard ), on lit sans problèmes le numéro de carte et sa date d'expiration... Pour l'historique des paiements c'est plus amusant : la première carte qu'on a testé avait déjà du vécu (bien usée - une des premières cartes NFC ?), historique du paiement bien visible... on en teste une autre, plus récente : effectivement, pas d'historique de paiements. On en teste une troisième, de la même banque que la N°1, toute neuve (octobre 2014) : historique des paiements accessibles ??!!
Du coup la non disponibilité de l'historique des paiements en NFC... euuh... en pratique on a pu donc voir une carte bien récente où c'était toujours accessible. Je sais pas quoi en penser.
Par contre aucune trace du nom du porteur.

J'ai reçu ma nouvelle Visa HSBC le mois dernier... expiration 12/2016... sans NFC. Dommage, j'aurais bien voulu l'avoir.

 
Et les détecteurs de métaux à l'entrée aussi marchent très bien crois-moi.
 
Tu rentres avec ta poche/sacoche matelassée d'alu, dès que tu passes le portique le vigile est au courant du genre de matériel que tu transportes et n'a plus qu'à se concentrer sur ton cas pour te cueillir comme une fleur à la sortie

Sinon le coup du cache webcam c'est plus que prudent.
Yahoo n'avait-il pas fait les choux gras de la presse spé il y a un an ou deux pour avoir utilisé un hack de ce type lui permettant de récupérer des captures webcam d'utilisateurs de ses logiciels?

 
J'ai eu une conf l'année dernière à la fac et le mec avait bien expliqué que c'était faisable... A partir du moment où tu n'as pas d'action de ton côté, qu'est-ce qui différencie le mec au sac à dos avec un terminal du commercant avec un terminal? Tu encaisses, tu retires dans un distributeur et voilà.

 
Non mais ça on est d'accord
 

 
C'est ce qui me semblait
 

 
Je suis curieux de savoir quelle est cette "avancée technologique" dont tu parles. Perso je fais une analyse coût/bénéfice : faible chance d'être emmerdé car vol de données personnelles/piratage de carte d'un côté, et gain totalement nul de l'autre (ne pas avoir à taper mon code n'est pas un gain pour moi). Donc espérance négative --> poubelle.
 

 
A priori pour un paiement, ça passe par les banque, y a une communication, ne serait-ce que pour vérifier que t'as l'argent. Ce que t'expliques, ça ne marcherait qu'avec un truc qui "stocke" l'argent dans la carte, genre Moneo en sans fil.
 
Je vais demander chez Canard PC Hardware à mon chef, tiens, vu qu'il avait joué avec ça.

Étant à la Poste Bancale je confirme

 
Bah non, puisque si t'as le terminal, c'est bien pour dialoguer avec la banque, mais comme y'a pas besoin de confirmation de ta part, ça devient un "hack" tout ce qu'il y a de plus légal :
 
"Bonjour, je suis un honnête commerçant et voici les infos de mr toto pour un paiement de 20€"
"Bonjour mr honnête commerçant, je suis la banque et j'accepte votre demande sans confirmation de mon client, puisque si vous avez pu approcher la carte de celui ci pour lire sa puce c'est forcément qu'il est consentant, voici vos 20€ en vous remerciant"

Je n'ai pas envie d'un moyen de paiement qui peut débiter 20€ sans avoir a effectuer une action physique (code a taper par exemple)
Je trouve que c'est complètement con. C'est comme si je laissais 20€ sortir de ma poche.

Et l'obtention du terminal de paiement se fait sans aucune trace auprès des banques,ce qui fait qu'on ne peut pas te retrouver...  

 
Et a coté pour ton compte mail dans ta boite tu dois changer de code tout les 3 mois, ne jamais utiliser un code qui ressemble a l'ancien, utiliser des majuscules, minuscules, chiffre. Au final on avait tout nos code sur des post-it.
 
La pour ton pognon, pas de code. Tu a juste a poser ta carte sur un terminal. les infos de ta cartes sont en clair ...

Et les 20 € sont stockés où, selon toi ? Les terminaux, ils sont connectés au banque, le NFC, l'argent est pas stocké dans les cartes, c'est juste une connexion sans fil entre la carte et le terminal. Y a pas 20 € virtuels qui vont passer de ta carte à un terminal. Ca, ça pouvait marcher avec une carte Moneo, qui contenait de l'argent (et qu'on devait charger). A part si quelqu'un choppe un vrai terminal de banque (et ça risque de se voir), ça va pas marcher.

Tous les hacks que j'ai vu, ils lisent des infos qui sont déjà visibles sur la carte, lire les données c'est prévu dans la norme.

 
Ca se fait avec une fausse identité, ou en en volant un, ou en en falsifiant un.  Parce que la vraie difficulté, c'est pas de faire une demande à la banque, c'est d'avoir l'accord du client final.  
 
Et là l'essentiel du problème, c'est le combo "à distance" et "absence de confirmation de l'utilisateur".
 
 
 

 
Comme quand tu payes un péage d'autoroute ou comme aux Etats-Unis et pleins d'autres pays quand t'utilises juste la bande magnétique. Et ça a jamais empêché les gens de s'en servir (et les banques de le proposer)

sisi ... mais les banques tant qu'elles touchent leur commissions elle sont pas super regardantes sur les documents  
le tout est d'etre malin et pas trop gourmand : tu monte une boite bidon avec un nom bien vague  
genre tu met "café du coin" ou "boulangerie la bonne miche"
 
tu taxe les gens de pas grand chose avec un montant bien bateau genre 4.85€ comme ca 80% ne verront même pas que cette operation n'est pas legitime en lisant les relevés de banque ( sans compter tous ceux qui verifie pas le detail )  
sur les 20% qui restent une grosse parti pensera juste avoir oublié ce que c'est ou perdu le ticket et sur les derniers vu la somme peu porteront plainte  
 
faut faire ca quelques mois maxi avant de tout clôturer et HOP    
 
/ vois le mal partout

Et la t'appelle la banque pour envoyer ton RIB et que l'argent tombe sur ton compte et non celui du commerçant auquel tu l'a piqué?

 
J'ai croisé un type a fait un truc dans le genre.
Surtout avec SEPA où la banque ne demande plus l'autorisation de prélèvement.
 
Il a créé une société bidon avec un compte bancaire, a acheté un fichier de coordonnées bancaires et a prélevé tous les clients avec de faibles sommes.
Il a retiré tout l'agent du compte et s'est barré à l'étranger avec plusieurs millions.
 
Il expliquait qu'au pire, il prenait 3 ans de prison, faisait un an et était dehors avec son argent, vu qu'il était bien planqué en offshore, il n'était officiellement pas solvable.

Au USA ils ne doivent pas signer le ticket ?
Avec la bande magnétique tu a une action physique a faire. Passer ta carte dans la machine. La tu n'a rien a faire. Juste approcher ta carte d'un terminal. C'est ce coté qui me dérange. J'ai peur qu'un mec arrive et te vole de l'argent alors que tu n'a pas sortit ta carte de ton portefeuille ou de ton sac.

c'est pas mal le SEPA. Le mec prend de l'argent chez toi sans demander l'autorisation.
 
 

Mais je dois voir le mal partout.

quand tu vois le nombre de gens qui valident leur carte de transport juste en posant le sac sur la borne ....  
a bordeaux les bornes sont a hauteur j'ai souvent vu les etudiants valider en frottant le cul sur le boitier sans meme sortir les mains des poches  
 
alors carotter du fric en étant serré dans un metro ca doit etre jouable    
tu te met juste a coté de la porte d'un wagon aux heures de pointes et ca tombe tout seul

 
"Ca existe donc c'est normal et acceptable".
 
Je juge pas du fond, mais je pense que d'un point de vue logique ta phrase ne vaut pas grand chose

 
Et encore, pour le SEPA tu peux faire des listes blanches.

Bah tu fais la même action physique qu'en sortant un billet de 20 de ton porte-monnaie.    
 
Marrante c'te parano.  
 
Ca ne gêne personne d'avoir un billet de 20 dans sa poche, mais un bout de plastique qui représente 20 si.    
 
 
Qu'on me dise que quelqu'un à 5m de toi puisse interroger le RFID pour en tirer des infos comme ton N° de compte, ok ça me gênerait un peu plus.
 
Mais là...    

 
Le risque est accepté, c'est différent.
 

 
Pas sur. C'est comme au péage: toutes les transactions sont enregistrées, et y'a un gros batch quelques heures plus tard qui vérifie tout en bloc pour éviter de passer 1 minutes à la barrière que la transaction soit acceptée par la banque.
 

 
Sauf que t'as rien lu quoi ... c'est exactement ce qu'il est possible de faire avec une CB. Lire ton numéro de carte, la date de validité, ton nom, tes transactions à quelques mètres de distance et sans interaction de ta part.